カスタムのファイアウォール・ルールを作成
カスタムのファイアウォール・ルール
第4章、サーバをネットワークの攻撃から保護するに登場した5つのファイアウォール設定はそれぞれ、実際にはルールの集まりであり、それぞれソースや通信の方向、どのサービスとインタフェースを許可するか拒否するかを元に名前がついています。
適用しているファイアウォールのルールを確認するには、サーバを選択し、次に「VirusBarrier Server 3」をクリックして「ファイアウォール」タブをクリックします。
デフォルトでは「シンプル」モードが開き、このモードではルールやルールのパート(ルールを構成する単位)の変更はできません。変更するには、「ファイアウォール」タブの「詳細設定」モードに切り替えます。「詳細設定」モードに切り替えるには、「ファイアウォール・ルール」タブをクリックし、次に「詳細設定」をクリックします。
警告: ここでの設定を変更すると、お使いのコンピュータでローカルネットワークおよびインターネットへどの程度アクセスできるかが大幅に変更される可能性があります。詳細設定の効果とその機能を十分に理解した上で変更を行ってください。さらに、設定によっては VirusBarrier Server Admin で管理しているサーバへのアクセスができなくなる可能性もあります。
「シンプル」モードでは、あからじめ用意された5つのファイアウォール設定のいずれかをクリックするとその効果をアニメーションで表示します。「詳細設定」モードでは、各ファイアウォール設定の詳細なルールが確認できます。
さらに、あらかじめ用意されたファイアウォール設定名の上にカーソルをしばらく置くと、各設定の簡単な説明が表示されます。
上図の例「クライアント、ローカルサーバ」設定は、4つのルールで構成されていることがわかります。
- 1番目のルールは、管理するサーバからファイルをコピーするといった双方向の通信を伴う TCP 接続で、ローカルネットワーク内からサーバが接続しているサービスすべてへのアクセスを許可します。
- 2 番目のルールは、同様なインターネットからの接続を全体として拒否し、サーバがローカルネットワーク外の不明なコンピュータに対しサーバとして動作することを防ぎます。
- 3番目のルールは、その他すべてのインターネットからサーバへの接続を許可します。
- 一方4番目のルールではサーバからインターネットへのすべての通信を許可します。
あらかじめ用意されている5つのファイアウォール設定は、使いやすさと安定性のため"固定”されており、個々のルール、およびルールの表示順を変更することはできません。しかしながらVirusBarrier Server 3 では、ファイアウォールのアシスタントと手動という2通りの方法でカスタマイズした設定を作成、追加することができます。
カスタマイズした設定を作成するには、リストの下部にある「+ (プラス) 」ボタンをクリックします。新しい設定が“名称未設定の設定”という名前で作成されるので、好みの名前を入力して Enter または Return キーを押します。
設定のみが作成されましたが、まだ有効にはなっていません。ファイアウォール設定は、すべてのルールが追加されるまで有効にしないことをお勧めします。設定を有効にするには、設定の左にあるラジオボタンをクリックします。
アシスタントを使ってルールを作成
VirusBarrier Server 3 は、独自のファイアウォール・ルールを作成するアシスタントを搭載しています。このアシスタントでは、数回のマウスクリックで独自ルールができ上がります。アシスタントで作成するルールは、VirusBarrier Server 3 が提供する機能のルールすべてが網羅できるわけありませんが、ファイアウォール・ルールで必要なほとんどの項目は設定できます。さらに詳細なカスタム設定を行ないたい場合は、まずアシスタントでルールを作成し、後から手動で編集するのがよいでしょう。
VirusBarrier Server 3 のアシスタントに従って、ルールを作成するいくつかのステップを進みます:
- イントロダクション
- 名前および動作
- 通信方向
- サービス
- オプション
- 最終画面
アシスタントで新しいルールを作成するには、下図の「アシスタント」ボタンをクリックします。
アシスタントの最初の画面が表示されます。
新しいルールを作成するには、「次へ」ボタンをクリックします。「前へ」ボタンをクリックすれば、いつでも前画面に戻れます。また「閉じる」ボタンをクリックすればアシスタントを終了できます。
名前および動作
ルールの名前を名前フィールドに入力し、ルールの動作を「データを許可する」か「データを拒否する」から選択します。「データを許可する」を選ぶと、ルールは通信方向とサービスに合致するデータを通します。「データを拒否する」を選ぶと、ルールは受信方向とサービスに合致するデータを遮断します。
通信方向
下図の画面で、通信方向を選び、どちらのホストが接続を開始するかを選びます。
まず、「このルールが適用される通信の通信先コンピュータを選択してください」の欄では、リモートのホストを選択します。リモートのホストとしては、4種類の選択肢があります:
- 他の任意のコンピュータ:サーバ以外のすべてのコンピュータです。
- ローカルネットワーク上のコンピュータ:管理するサーバと同じローカルネットワーク上にあるすべてのコンピュータです。
- デフォルトのAirMacネットワーク上のコンピュータ:AirMacネットワークを利用している場合、お使いのデフォルトの AirMac ネットワー上のすべてのコンピュータです。
- 以下のカスタムネットワーク上のコンピュータ:標準のルール・エディタでカスタムのネットワークを作成している場合、その中から1つを選べます。(カスタムネットワークの設定の方法については、「手動でルールを作成」セクション を参照してください。)
続いて、接続を開始するコンピュータを選択します:
- 自分のコンピュータ:このルールを使用するお使いのコンピュータです。
- 他の任意のコンピュータ:この画面の上部で指定したリモートのホストです。
サービス
この画面で、このルールが適用されるサービスを選びます。
サービスは3種類の選択肢から選べます:
- すべてのサービス:すべてのネットワーク・サービスです。
- TCPサービス(接続済みのサービス):HTTP、FTP、Telnet、SSH、POP3、AppleShare など、2 台のコンピュータ間で接続が開かれたら、そのまま維持され続けるサービスです。これはすべてのTCP接続を含みます。
- 以下のサービス:主要なアプリケーションとプロトコルに対応したサービス一覧からサービスを選ぶことができます。指定したいサービスを一覧でクリックして選んでください。
オプション
この画面で、ルールに追加のオプションを設定できます。
この画面では2つのオプションが設定できます:
- ルールの使用状況をログに記録する:ファイアウォールが、このルールが使われる度にログに記録します。
- ルールを無効にする:VirusBarrier Server 3 はこのルールを作成しますが、無効の状態にします。ルールは、後から手動で有効にすることができます。
最終画面
この画面で、アシスタントで選択した設定に基づいてルールを実際に作成します。
この画面には、最後のオプションがあります:「逆方向のルールを作成する」をチェックすると、アシスタントが同じ内容で発信元と宛先を入れ替えたルールも同時に作成します。
「設定」をクリックすると、ルールが作成され、アシスタントは終了します。
ルールの作成が完了すると、下図のようにVirusBarrier Server 3 のファイアウォール・ルールの一覧に作成したルール(「逆方向のルールを作成する」をチェックしていれば2つのルール)が追加表示されます。
さらにルールをカスタマイズしたり、ルールを編集するには、後述の「ルールの操作」セクションの「手動でルールを作成」を参照してください。
手動でルールを作成
サービスやプログラムとの間でやり取りする情報をコントロールするためのルールを素早く作成する方法があります。ルール一覧の下にある「+ (プラス) 」ボタンをクリックし数秒間押した状態にします。ポップアップメニューが開き、一般的なサービスのリストが表示されます。サービスを選択すると、ルール一覧に追加されます。
ルール・エディタを使えば、多様でより複雑な設定のルールを作成できます。追加するには、「+(プラス)」ボタンをクリックして、編集ダイアログを表示します。
VirusBarrier Server 3 のルール・エディタでは、ネットワーク管理者が素早く簡単に分かりやすい保護方針を定義し追加できます。非常に自由度が高く、定義できるルールの数に制限はありません。ルールを作成するには、6つの項目を指定する必要があります:
- ルールの名前、ログ、評価作業の停止とスケジュール
- 発信元
- 宛先
- サービス
- インタフェース
- 動作
名前、ログ、評価作業の停止とスケジュール
ルール・エディタの上部には、このルールに名前をつけるためのフィールドがあります。その下には、「ログ」というチェックボックスがあります。「ログ」チェックボックスをチェックすると、このルールが動作するたびに、その内容がログに追加されます。ルール一覧の名前フィールドの右側に赤いドットが表示され、ログに記録されていることを示します。このボックスをチェックしていないと、このルールの処理はログに記録されません。
また、「ログ」チェックボックスがチェックされていると、「ルールの評価作業を停止する」チェックボックスが選択できるようになり、デフォルトでチェックされます。この2つの設定は、トラフィックを妨げることなく問題を解決する強力な手段になります。
警告: もしルールがうまく動作せず、その原因がわからない場合には、動作していないルールの上にある「ルールの評価作業を中止する」チェックボックスがオフになっていることを確認してください。
スケジュールを編集するには、「編集...」ボタンをクリックします。「スケジュール」ウインドウが開きます。
「ルールのデフォルトの状態」は、「有効」に設定されており、このルールがオンになっていることを意味します。「無効」に設定すると、VirusBarrier Server 3 はこのルールを使いません。これにより、ある種の環境では特定のルールをオンにして、別の環境ではオフにするといった設定セットを用意して使うことが可能です。詳しくは、6 章「VirusBarrier Server 3 の環境設定と設定」の「設定について」セクションをご覧ください。
ルールのデフォルトの状態が「有効」なら、このルールが特定の時間にオフになるようにも設定できます。ルールのデフォルトの状態が「無効」なら、逆にこのルールが特定の時間にオンになるように設定することもできます。
ルールを新規作成した時点では、そのルールは常に「有効」になります。特定の時間にルールをオンまたはオフにしたい場合は、ポップアップメニューから「有効」あるいは「無効」を選び、リストから時間の間隔を選びます。
ルールのデフォルトの状態をスケジュールで変更しない「なし」というオプション以外に、以下の3つの選択肢があります。
- 「毎週」を選択すると、毎週月曜日の 8:00 am という具合に、毎週決まった時刻にルールを有効にしたり無効にしたりできます。
- 「毎日」を選択すると、毎日決まった時刻にルールを有効にしたり無効にしたりできます。
- 「開始日」を選択すれば、スケジュールを適用する期間を開始日と終了日、およびそれぞれの時刻を指定してルールを有効にしたり無効にしたりできます。
ルールを有効/無効にするスケジュールを追加するには、「+(プラス)」ボタンをクリックします。例えば、月曜日と火曜日の業務時間だけルールを無効にしたければ、「スケジュール」ウインドウで、下図のようにこの2つの曜日を設定します。スケジュールを除去するには、もう使わないスケジュールの右側にある「−(マイナス)」ボタンをクリックします。
スケジュールを設定されたルールは、ルール一覧では下図のようにカレンダーアイコン付きで表示されます。
発信元と宛先
ルールを定義するとき、「発信元」とはデータを送信する側を指します。また「宛先」とはデータの送信先を指します。ルールごとに、発信元と宛先を4種類の選択肢から指定できます。なおVirusBarrier Server 3 では、1つのルールで発信元と宛先に同じ項目を指定することはできません。(同じ項目を指定しようとしても、VirusBarrier Server 3 によってエラーが訂正されます。)
以下の4つの発信元と宛先がデフォルトで使用できます:
- 自分のコンピュータ:お使いのコンピュータ。
- ローカルネットワーク:お使いのコンピュータが接続されているローカルネットワークです。
- AirMacネットワーク:お使いのコンピュータが接続されているAirMacの無線ネットワークです。
- インターネット:お使いのコンピュータが接続されているローカルネットワークにインターネットを加えたものです。 インターネットを選ぶと、実際にはすべてのネットワークを意味します。
ルールで使用する発信元と宛先を新たに作成することができます。これにより、管理するサーバと通信できる特定のコンピュータを正確に指定することができます。
新しい発信元を作成するには、「発信元」または「宛先」ポップアップメニューの右側にある「+(プラス)」ボタンをクリックします。この例では、新しい「発信元」を作成しますが、いったん作成すれば「宛先」としても同様に利用できるようになります。
「新規ネットワーク」の編集ダイアログが表示されます。
覚えやすいネットワークの名前を入力します。例えば、ブロックするIPアドレス最後の値が100〜155であれば、“IPアドレス100〜155”という名前を付けても良いかもしれません。
ポップアップメニューには、ネットワークの種別として7種類の選択肢があります。
| 名前 | 種別 | アドレスのタイプ |
| すべて | すべてのネットワーク。 | すべてのネットワークを網羅するため、特に指定しません。 |
| 自分のコンピュータ | お使いのコンピュータ。 | アドレスフィールドに表示される管理するサーバのIPアドレスです。 これは変更できません。 |
| 自分のローカルネットワーク | お使いのコンピュータが接続されているローカルネットワーク。 | アドレスフィールドに表示されるサーバのIPアドレス、および接続しているネットワークのサブネットマスクです。 これは変更できません。 |
| マシン | 特定のIPアドレス。 | 任意のIPアドレス。ドメイン名を入力するとVirusBarrier Server 3 がIPアドレスとして解決します。 |
| ネットワーク | 特定のネットワーク。 | 任意のサブネットIPアドレスおよびサブネットマスク。ドメイン名を入力するとVirusBarrier Server 3 がIPアドレスとして解決します。 |
| アドレス範囲 | 一連のIPアドレス。 | 開始アドレスと終了アドレスで区切られた一連のIPアドレスです。ドメイン名を入力するとVirusBarrier Server 3 がIPアドレスとして解決します。 |
| Ethernet ID | Ethernet経由でネットワークに接続している単一のデバイス。 | 2ケタ6組16進数で表されるEthernet IDです。 |
サービス
ルールの“サービス”とは、プロトコルタイプ、使用されるポートそしてそのプロトコル固有の基準の組み合わせを意味します。これらは総合的に言えば、情報を送信、受信するプログラムまたはプログラムのクラスを表しています。例として、HTTPを使用しTCPプロトコルでポート80を使用するサービスは、ウェブサービスです。
VirusBarrier Server 3 には、下図のように50を超えるサービスが準備されており、特定のタイプのトラフィックを簡単に停止または許可することができます。
ほとんどのサービスが特定のプログラムに割り当てられていますが、リスト中のいくつかのサービス、例えば、"Web”は通信の1つのクラスに割り当てられています。このように特定されていないサービスを以下に示します:
| 名前 | 説明 | 設定 |
| すべて | プロトコルやポートを選ばないすべての通信。 | すべてのプロトコル、かつすべてのポート。 |
| Apple Remote Desktop | 管理者のMacがネットーワーク接続を経由してほかのMacを制御できるプログラム。 | UDP プロトコルでポート3283を使用。 |
| 接続しているサービス | すべてのTCPサービス。TCPセッションはコンピュータ間の接続を維持するため、接続を開始したのが誰なのかが常に明確で、そのため信頼できます。一方、UDPのセッションは誰が開始したのかという"記憶”を持たない一連の通信です。 | すべてのポートのすべてのTCP通信。 |
| FTP | ファイル転送プロトコル。 | TCP プロトコルで、ポート20または21を使用。 |
| iChat AV | ビデオおよびサウンドを伴うインスタント・メッセージのプログラム。 | UDP プロトコルでポート5060を使用。 |
| IRC | Internet Relay Chat(インターネット・リレー・チャット)。 | IRCはTCPプロトコルでポート194を使用。すべてのTCPトラフィックにはポート6665から6669が使用される。 |
| iTunes Music Sharing | ローカルネットワーク上でiTunes ミュージックライブラリを共有する方法。 | TCP プロトコルでポート3689を使用。 |
| 電子メールの通信。 | TCPプロトコルで、SMTPはポート25、POP3はポート110、IMAP4はポート143、IMAP3はポート220、LDAPはポート389、メッセージの送信にはポート587を使用。 | |
| NTP | Network Time Protocol。 | UDPプロトコルでポート123を使用。 |
| SSH | Secure Shell。 | SSHを使用し、TCPプロトコルでポート22を使用。 |
| Telnet | リモート・ログイン。 | Telnetを使用し、TCPプロトコルでポート23を使用。 |
| VNC | Virtual Network Computing。 ネットワーク上のコンピュータを遠隔操作するシステムです。 | TCP プロトコルでポート5900〜5999を使用。 |
| Web | Safariなどブラウザを通して行うウェブブラウジング。 | TCPプロトコルでHTTPはポート80と8080、HTTPSはポート443を使用。 |
| ウェルノウン・ポート | ネットワーク通信で長年に渡り使用されている広い範囲のポート。 | TCPとUDPプロトコルでポート0から1023 までを使用。 |
残りのサービスは、特定のプログラムかプロトコルです。
特定のサービスへのルール作成には注意が必要です。特定のプログラムへのサービスを選択する場合、プログラムが別のプログラムまたは別のサービスとして同じポートを使用することがあります。特定のサービスを遮断または許可すると、他の一般的なルールと衝突する場合があります。例として、ICQトラフィックを遮断したい場合、ICQ をサービスとして選択すると、同じポートを使用するAOL Instant Messengerトラフィックも遮断してしまいます。他にも同じポートを使用するプログラムがあるかもしれません。接続できないサービスがある場合、あるいはトラフィックの送受信ができない場合には、ルールを無効にして、衝突がないか確認してください。
新規サービスを作成するには、「サービス」セクションの隣の「+(プラス)」ボタンをクリックします。
「新規サービス」の編集ダイアログが表示されます。
「プロトコル」ポップアップメニューには、次の4種類の選択肢があります:TCP、UDP、ICMP、そしてIGMPです。また、あらゆるプロトコルを含む「すべて」を選ぶこともできます。
これらのプロトコルから1つを選ぶと、ウインドウの下部にいくつかの選択肢を含む追加オプションが表示されます。オプションの内容は選択したプロコトルによって異なります。
TCPまたはUDPには以下のオプションがあります:
- すべてのポート:すべてのポートに影響します。
- 単一のポート:ポート番号を入力するか、ポップアップメニューに用意された100以上のオプションから選択することで、単一のポートを指定できます。(ポップアップメニューから選択した場合、VirusBarrier Server 3 によって自動的に正確な値が補完されます。)
- 一連のポート:ポートの範囲を指定するため、範囲の先頭のポート番号と末尾のポート番号を入力できます。
ICMPまたはIGMPには以下のオプションがあります:
- すべて:すべてのタイプに影響します。
- 特定のタイプ:値を入力するか、ポップアップメニューに用意された20以上のオプションから選択することで、単一の値を指定できます。(ポップアップメニューから選択した場合、VirusBarrier Server 3 によって自動的に正確な値が補完されます。)必要に応じて、「コード」番号が指定できます。
いずれのプロトコルも、「Broadcast パケットを許可」オプションが利用できます。このオプションをチェックすると、ローカルネットワーク上のすべてのコンピュータに送信されるBroadcastパケットがこのサービスに含まれます。
「宛先ポート」は、UDP プロトコルでのみ使用できるオプションです。このオプションをチェックすると、パケットが宛先ポートの機能によってフィルタリングされます。チェックしていないと、発信元ポートの機能によってフィルタリングされます。
インタフェース
ルールのインタフェースとは、データが通るネットワーク・アダプタを意味します。Ethernetカード、AirMac無線カード、またその他の種類のネットワーク・インタフェースがあります。
お使いのコンピュータに存在するものをあらかじめ定義されているインタフェースの中から選択するか、独自のインタフェースを「+(プラス)」ボタンをクリックして作成することができます。
「新規インタフェース」の編集ダイアログが表示されます。
「タイプ」ポップアップメニューには2つの選択肢があります。1つ目の「すべて」を選択すると、利用できるネットワーク・インタフェースすべてを使用します。2番目の「特定」を選択すると、お使いのコンピュータのハードウェアやソフトウェアによって利用できるインタフェースの一覧、さらに追加オプションが表示されます。
典型的なインタフェースは以下の通りです:
- AirMac:無線ネットワーク
- 内蔵Ethernet:一般的にネットワークで使用される有線のインタフェース
- 内蔵 FireWire:一般的にはハードドライブなどの周辺機器の接続に使用されるインタフェースですがネットワーク・インタフェースとしても利用されます
「BSD 名」および「インデックス」の番号はMac OS XのUnixレイヤーで使用される識別子です。必要に応じて手動で指定できます。(通常、特に変更する必要はありません。また識別子について知識がない場合は変更しないでください。)サーバに他のインタフェースが存在する場合は「その他」オプションも選択できるようになります。
動作
すべてのルールで、次の2種類の動作が選べます:「許可」あるいは「拒否」です。「ルール・エディタ」下部にあるラジオボタンから、選択したルールに適用したい動作をクリックして選択します。
最後に、作成したルールをVirusBarrier Server 3 のファイアウォール・ルールに追加するには「OK」をクリックします。
複数パートの発信元、宛先、サービスとインタフェース
ルールの発信元、宛先、サービスとインタフェースは複数のパートを持つことができます。例えば、複数の特定IPアドレスのトラフィックを拒否するために、「発信元」として複数のアドレスを個別に指定することができます。
発信元、宛先、サービス、インタフェースを作成または編集する際に、ウインドウの上部に下図のようなバーが表示されます:
- パートを追加:パートを追加するには、「+(プラス)」ボタンをクリックします。
- パート間を移動:左右の矢印アイコンをクリックして、あるパートから前後にある別のパートへ移動できます。中央に表示される数字は、現在何番目のパートを表示しているか、また合計でいくつパートが存在するかを表しています。最後のパートを表示している状態で右矢印をクリックすると、最初のパートに戻ります。
- パートの削除:パートを削除するには、まずそのパートを表示します。左右の矢印アイコンをクリックして、削除したいパートに移動します。「−(マイナス)」ボタンをクリックします。 このパートを削除するか確認するダイアログが表示されます。
発信元、宛先、サービス、インタフェースの削除
自分で作成した発信元、宛先、サービスおよびインタフェースは、いずれも削除できます。削除する項目を選択し、「−(マイナス)」ボタンをクリックします。
除去するかを確認するダイアログが表示されます。除去するには「除去」を、除去しない場合は「キャンセル」をクリックしてください。
ルールの操作
ルールの順番
VirusBarrier Server 3 に追加したファイアウォール・ルールは、上から順に下に向かって適用されていきます。つまり正しく機能させるには、ルールが正しい順番に並んでいなければなりません。
上の例では、最初のルールがインターネット(ローカルネットワークを含むすべてのネットワークが含まれます)から受信されるデータを遮断します。一方ルール3では、ローカルネットワークからのデータを受け付けています。しかし3番目の位置にあるので、適用されません。なぜなら1番目のルールが優先されるからです。ルール3を適用させるには、ルール一覧の一番上に移動させなければなりません。ルールを一番上に移動するには、このルールを選び、下図のように他のルールより上へドラッグします。
ルールの編集と削除
ルールを編集するには、クリックして選択し、一覧の下部にある「鉛筆」アイコンをクリックします。「ルール・エディタ」が開き、ルールの内容を変更できます。変更を完了したら、「OK」をクリックして変更を保存してください。変更を保存したくない場合は、「キャンセル」をクリックしします。
ルールを削除するには、ルール一覧でクリックして選択し、一覧の下部にある「−(マイナス)」ボタンをクリックします。
ルール・コンテキストメニューの使い方
VirusBarrier Server 3 では、コンテキストメニューからファイアウォールのルールをすばやく操作できます。このコンテキストメニューでは、その場で新規ルールを追加したり、既存のルールを編集したり、ルールの特性を変更したりできます。
コンテキストメニューを表示するには、ルールを右クリックします。
このコンテキストメニューには、以下のオプションがあります:
- クリップボードにコピー:ルールの内容をクリップボードへプレーンテキスト形式でコピーします。コピーした内容は別の書類にペーストでき、内容は次のようになります:"#02/ON/入力/すべて/インターネット -> 自分のコンピュータ/すべて/拒否"(ここでスラッシュ記号はtabを表します)。
- 標準セットを挿入/標準セットを追加:シンプル・モードで表示されるのと同じ標準のルール・セットを挿入または追加します:「制限なし」、「ネットワークなし」、「クライアント、ローカルサーバ」、「サーバのみ」、「クライアントのみ」です。
- ステータス:オン/オフをクリックして、ルールの状態を切り替えられます。ルールが特定の時刻に有効となるようにスケジュールされている場合は、「予約済み」にチェックマークがつきます。
- 動作:ルールの動作として、トラフィックの許可と拒否を切り替えられます。
- ログ:ルールがトラフィック情報をログに記録するかどうかを切り替えます。
- 発信元と宛先を入れ替える:ルールで指定された発信元と宛先を入れ替えます。
- 複製:ルールの複製を作ります。
- 編集...:ルール・エディタを開いて、ルールを編集できます。
- 除去...:ルールを削除します。